CISA警告：NSA开发的OT网络工具存在数据窃取漏洞

美国网络安全和基础设施安全局（CISA）近日发布警告，提醒所有使用GrassMarlin工具的用户注意一个新发现的安全漏洞。该工具由美国国家安全局（NSA）开发，攻击者可利用此漏洞窃取敏感信息。

此次漏洞由Dragos公司高级工业渗透测试员格雷迪·德罗萨（Grady DeRosa）首先报告。该漏洞影响GrassMarlin的所有版本。GrassMarlin是NSA开发并开源的网络安全工具，主要服务于关键基础设施组织、工业控制系统及SCADA网络的网络安全防护工作。

由于GrassMarlin已于2017年停止维护，官方不会推出任何补丁修复。对此，CISA建议用户采取以下措施：确保控制系统和设备不通过公开互联网访问、通过防火墙将网络和设备与业务网络隔离，并确保远程访问通道的安全性。

CISA未透露漏洞编号CVE-2026-6807（评分5.5）的过多细节，但确认一旦漏洞被成功利用，可能导致敏感信息泄露。CISA在周二发布的安全公告中指出："该漏洞源于XML解析过程中安全加固措施不足。"

此类攻击（CWE-611）通常影响处理XML文件的产品。GrassMarlin主要使用XML格式保存会话文件，包括节点与连接列表、节点位置、颜色及会话元数据等，并将这些文件打包为ZIP压缩包，以.gm3扩展名保存。

此类攻击通常被称为XML外部实体（XXE）攻击，攻击者会诱导系统所有者解析经过篡改的恶意XML文件，从而实现数据窃取。以上为XXE攻击的基本原理，CISA并未具体说明CVE-2026-6807的实际利用方式。

Rapid7公司渗透测试员安娜·奎恩（Anna Quinn）随后公开了一个概念验证漏洞利用程序，并将其发布至GitHub。奎恩在说明中写道："通过对GrassMarlin代码进行分析，我判断可能存在漏洞的参数与打开已保存会话时所加载的XML文件有关。通过构造恶意请求，我发现可以在GrassMarlin的消息控制台中触发报错。虽然报错的原因和内容在GrassMarlin的所有日志和输出中均被完整过滤，但通过在DTD中引用外部主机，仍可实现对任意文件的带外（OOB）数据窃取。此外，该漏洞存在一定限制条件：系统不能使用较新版本的Java，必须使用GrassMarlin安装包自带的Java版本。同时，多种类型的输入会导致报错，从而干扰数据窃取过程。为绕过这一限制，可将内容转换为Base64编码后，分多个消息块进行传输。"

奎恩在LinkedIn的另一篇文章中指出，该漏洞对大多数组织构成的威胁程度有限，实际上只能通过网络钓鱼方式加以利用，攻击途径包括本地用户之间的内部传播或外部电子邮件攻击。

Q&A

Q1：GrassMarlin是什么工具？它有什么用途？

A：GrassMarlin是由美国国家安全局（NSA）开发并开源的网络安全工具，主要用于支持关键基础设施组织、工业控制系统和SCADA网络的网络安全防护工作。该工具主要使用XML格式保存会话文件，包括网络节点信息、连接关系、位置及元数据等内容，并以.gm3格式进行存储。不过，该工具已于2017年停止官方维护，目前处于停更状态。

Q2：CVE-2026-6807漏洞是怎么被利用的？

A：CVE-2026-6807是一个XML外部实体（XXE）攻击漏洞，根源在于GrassMarlin的XML解析过程缺乏足够的安全加固。攻击者通过构造恶意XML文件，诱导用户打开，从而触发漏洞并窃取敏感数据。Rapid7研究员奎恩进一步发现，攻击者可通过在DTD中引用外部主机实现带外数据窃取，并将文件内容以Base64编码分块传输来绕过错误限制。该漏洞主要依赖网络钓鱼方式传播。

Q3：GrassMarlin漏洞没有补丁，用户该如何防护？

A：由于GrassMarlin已于2017年停止维护，官方不会发布任何安全补丁。CISA建议用户采取以下防护措施：确保工业控制系统和相关设备不直接暴露在公开互联网上；通过防火墙将工控网络与企业业务网络进行隔离；同时确保所有远程访问连接均通过安全方式建立，降低被攻击的风险。